Todos Somos Genbeta

Actualización: algunas de las IPs que participaron en el ataque.

23:07: Otra vez hay problemas de red en nuestros servidores. Están en marcha pero hay muchas pérdidas de paquetes. Ya hemos abierto ‘incidencia de emergencia’.

Perdón por las molestias.

23:25: me informa el técnico (Vicente de Veloxia, se portó muy bien) que miró el caso que sospecha que sea un DDoS. No se sabe a quién, se obervó una súbida de tráfico saliente muy alto, entendí que era desde el mismo switch donde está el Menéame. Esta tarde, como a las 18 hs, tuvieron otro ataque DDoS gordo pero pudieron aguantar.

23:40: Sí, acabo de ver el mail que me enviarón con el aviso-amenaza desde una IP estática de Telefónica segundos (23:07 hs) antes del presunto ataque:

Date: Fri, 08 Feb 2008 14:07:00 Pacific Standard Time
From: estafa@quienteadmite.com
To: gallir@gmail.com
X-MSMessengerInvitationMailTemplateVersion: 2.9.12.5.0.02
X-Originating-IP: [81.41.104.134]

Coincide la IP con conexiones al Menéame justo antes y después del ataque.

El mensaje anterior fue enviado exactamente a las 23:07 (GMT+1):

Date: Fri, 08 Feb 2008 14:07:00 +0000 (Pacific)

Justo segundos después que comenzara el ataque:

Feb 8 23:05:21 web4 php5: Meneame: twitter updater called, id=305430
Feb 8 23:05:36 web4 php5: Meneame: jaiku updater called, id=305430
Feb 8 23:06:57 web4 kernel: svc: bad direction 944578702, dropping request

Bonitas coincidencias que alguno tendrá muy difícil de explicar

23:55: Vuelta a la normalidad.

2:25: Vuelven los ataques.

3:00: Ya descubrimos bien el tipo de ataque, flood UDP a puertos aleatorios. Hablé con Vicente, procederán a cerrar esos puertos.

También amenazas chantajes de hoygan-scammers -supongo- por si cae algo, desde la IP 189.164.117.54:

from Erika Guadalupe Parra Jaramillo <ninalindalinda@hotmail.com> to adm@ date Feb 9, 2008 2:27 AM subject Ataques DDOS (LEA URGENTE)

hide details 2:27 AM (38 minutes ago)

‘ Reply ‘

Estimados de meneame.net, quienes somos, y por que le escribimos?
Somos parte de la red de DENEGACION DE SERVICO, mas grande de AMERICA LATINA, lease bien, mas grande de america latina. Como sabran, hace poco genbeta.com sufrio un ataque muy grande, tan grande que ocaciono parte del datacenter, usted se preguntara, por que es tan grande el ataque? La respuesta es simple, contamos con datacenter propio en Paraguay, uno en foz iguazu, y un rack completo en china, desde donde podemos enviar ataques de conectividad MUY GRANDES, mas de 1.000.000 de Mbps, que tal? Como paras un ataque de esta indole? Es imposible, te voy a contar con los dedos de mi manos las web que no caerian con estos ataques. yahoo, hotmail, google, paypal, youtube, hi5, citybank, la web del fbi y nasa, y algunas otras 4 o 5 mas, y ahi se termina. Por ende, sepa que no podra salvarse de esta situacion. En estos momentos tambien estamos atacando a lohizo.com, blockoo.com, desadmite.com, por que las atacamos? Hace poco varios webmaster nos pidieron un trabajo, y se olvidaron de abonarnos algo de dinero, ahora sufriraran ellos la consecuencia, ya no nos importa si ganbeta.com deja o saca la nota. Ahora tenemos otros intereses, hemos visto que ustedes junto a meneame.net mueven mucho dinero, y eso nos tento bastante. Por lo que si en las proximas horas no nos envian 7.000 dolares por western union durante 7 dias consecutivos (el maximo a enviar por dia en western union es de 7.000 dolares) si no hacen eso, su empresa meneame.net junto a weblogssl.com dejeran de funcionar de por vida, ya que no podran frenar un ataque desde 2 datacenter mas un rack desde china, con mas de 1.000.000 de Mbps de ataque.
Los datos a enviar el dinero son:
Emiliano Fernandez,
Direccion: 29 de Setiembre
Ciudad del Este, AltoParana
Pais: Paraguay

Si en las proximos 3 dias no llega la suma de dinero que se pide, todas sus web seran destruidas, tenga en cuenta que esto les causara mas daños, por lo que si son personas inteligentes, enviarian el dinero, y prometemos no molestar mas. Hemos visto que se mueve dinero, y sabemos que con su buena economia no seran afectado por estos dolares, que para ustedes es poco dinero, por eso sabemos que enviaran el dinero, es asi, correcto? En 3 dias queremos el dinero, los ataques comenzaran desde ahora, y si en 3 dias esta el dinero, los ataques seran frenados, pero si no envian el dinero, los ataques aumetaran cada vez mas, y mas.
Una vez enviado el dinero, queremos MTCN, NOMBRE Y APELLIDO, CIUDAD Y PAIS DESDE DONDE SE ENVIA EL DINERO. En caso de que avisen a alguna autoridad y nos enteremos de esto, las consecuencias serian muy grandes, y caerian miles de web afiliadas a ustedes, tengan cuidado con lo que hacen.

Firma
EL QUE TE DEJARA SIN NADA SI NO ENVIAS EL DINERO
SALUDOS

3:35: Con la colaboración de Vicente (¡gracias tío!, también a jcarlosn por las pistas) pudimos frenar casi todo el tráfico que generaban de entrada, más o menos 1 Gbit/segundo. No explicaré cuál y dónde fue la solución para no dar pistas ;-). ¡Ah! le contesté al fantasma anterior que puede coger una hamaca para esperar más cómodo, es tan creíble su email

Nota: Por favor no hagáis nada contra esa IP de Telefónica, quizás sea inocente y no ayudará en nada a la denuncia (ya estamos más o menos coordinados con Julio Alonso y especialistas de la Guardia Civil, me queda el marrón de ir a poner un denuncia por escrito).